ｺｰﾎﾟﾚｰﾄｶﾞﾊﾞﾅﾝｽ・企業法務・IT・Medical・Healthcare弁護士吉澤尚

インターネットバンキングを巡る不正アクセスによる被害が増大しているが、これは個人の口座に限らず、中小企業等の法人口座の被害も例外ではない。近く全銀協は、法人被害の補償を検討する模様であるが、その内容として、(1)基本ソフトなどの最新版への更新(2)パスワードの定期的な変更(3)銀行が正規に発行した電子証明書の利用(4)サポートが終了したソフトの使用禁止(5)使い捨てパスワードなど銀行が提供している対策の利用―を条件として示し、銀行側とネットバンキングを利用する法人の双方が、安全対策に細心の注意を払っても被害が生じた場合に補償を検討することを基本とする方向で議論が進んでいるようだ。

しかしながら、中堅企業や中小企業のセキュリティレベルは、家庭用PCで詳しい人のレベルを下回っていることが少なくない。セキュリティ対策など二の次になってしまっている企業が多いように思う。今後は、セキュリティの金純が低ければ、自社の資金繰りに影響しかねない事態となり、銀行に補償を求めても、その対応が難しい場合も発生しかねない。セキュリティは企業の事業継続を議論する上で、大事な問題となってくることは明らかです。少なくとも最低限のセキュリティはキャッチアップするようにならなければなりません。

全銀協の指針公表後に別途内容を紹介していきたいと思います。

マイナンバー制度実施のために、先日中核システム開発の入札の報道があった。工程管理を落札したアクセンチュアは、特許庁のシステムの工程管理を担当していた会社であり、その反省を生かせるのであろうか。入札の際は、そのような意識があって入札したのでしょうから今回こそは責任を果たしてもらいたい。今回のシステムは、開発の方向性を誤れば、国民の財産や国の財政に致命的なダメージを与えかねません。それほど重要なシステムですから、特許庁のシステムよりもはるかに開発の失敗による責任は重い。

しかしながら、マイナンバー制度を支えるシステムの安全性を完全に守ることはできるのであろうか。完全に防げないにしても今のセキュリティに対する意識レベルで大丈夫なのかはかなり不安を覚える。

もちろん昨今のセキュリティやバグの事故のすべてがリスクとして関係があるわけではないが、昨今Ｈｅａｒｔｂｌｅｅｄの問題が発生し、カナダでは確定申告のシステムが停止する事態にまで発展しており、セキュリティやシステム上の致命的バグの問題は、完全にネットワークにつながらうシステムの安全を完全に保障することができないことを改めて痛感させた。

さらに、これだけではない、ソフト面の技術的な問題だけではなく、古いＯＳを搭載したままのハードウェアの問題も発生している。
今般WindowsＸＰの期限切れのパソコンの問題に地方自体の26万件(全体の13％)のＰＣ端末が対応できておらず、総務省が利用の停止要請をしたとの報道がなされた。

このような状況で、年金等の社会保障、税務上の問題を預金口座等個人の資産につながる情報に紐づけて、行政に管理できるようにしてしまっていいのでしょうか。マイナンバー制度による行政の効率化の良い側面を否定するものではありませんが、本当に国民の財産やの安全が確保できるのでしょうか。このシステムが停止し、従来アナログベースで対応していた人員が削減され、全く対応できない事態が発生すれば、コスト削減効果など一瞬にして吹き飛ぶと思います。

開発を落札したベンダー連合及び工程管理業者はよりセキュリティに高度な配慮を行った慎重な開発を意識してもらいたいですし、マイナンバー制度の運用の現場に含まれる地方自治体の現場レベルでも、サポートｓが終了したＯＳの更新ができないことは発生しないように肝に銘じて貰いたいところです。

　個人情報漏えい事故が発生した時、被害拡大防止のためすぐに公表する。これは正しい対応でしょうか。確かに隠ぺいは論外ですが、すぐ公表することが正しいとは限りません。というのは、公表することにより、情報漏えいをPRしてしまうことなどにより、かえって被害拡大を招くことがあるのです。従って、迅速に経過や原因等を確認して、公表によりかえって被害拡大を招かないか確認をすることが求められます。公表することが被害者救済に全てつながるというわけではないのです。

一旦情報が流通してしまうと情報を簡単に回収できるわけではありません。十分注意して対応しなければなりません。過去の事例においても、情報の回収に非常に困難を極めたものも多く存在します。適切に対応して2次被害を最小限にとどめなければなりません。情報漏えい事故においても対応のノウハウというものがあるのです。
 

御相談、顧問弁護士のご依頼、お問い合わせはこちら
 

国会議員や有名人になりすます輩はまだまだいるようですね。周知したほうがよいので、削除方法を説明した記事をご紹介しておきます。
 

御相談、顧問弁護士のご依頼、お問い合わせはこちら

 

企業のウェブサイトが相次いて改ざんされています。ＩＰＡは、ウェブサイト管理者向けにウェブサイト改ざんに関する注意喚起を行うとともに、一般利用者向けには、改ざんされたウェブサイトからのウイルス感染に関する注意喚起を行っています。十分注意してください。
 
御相談、顧問弁護士のご依頼、お問い合わせはこちら
 
 

　twitter,facebook,Linkedinなどソーシャルメディアの利用者が拡大していることは今に始まったことではない。一定のブランド力のあるメディアにおいては、その登録者層の資産規模も大きくなっていることから、そのようなメディアが特にスパムの発信源となると警告する情報セキュリティの研究者もいる。
　便利なのは良いのだが、運営会社のセキュリティのみならず、ユーザー側の個人情報やカードなどの資産に直結する情報についての管理の意識を高める必要がある。法律での被害回復が困難な分野も含まれていることから、このような予防意識を高めないと思わぬ落とし穴にはまってしまうかもしれません。

御相談、顧問弁護士のご依頼、お問い合わせはこちら

 

情報セキュリティ会社のラックによれば、新たなインフラができるとそのシステムのセキュリティ対策というものは後から追い付いてくる傾向があるように感じますが、いままで、ボットを感染させてボットネットを活用して攻撃する手法がとられてきたが、ウィンドウズ７の登場などセキュリティ対策が向上してきており、むしろクラウドを悪用した方が便利という事態になってしまっているようです（TIproさんの記事）。クラウドコンピューティングは、情報セキュリティの必要性が叫ばれていましたが、これ自体が攻撃もととしてインフラに使われてしまう事態は悩ましいことです。クラウドのサービス提供時にはやはりこういった利用方法をした時点で排除する契約条項を設けるなどの対策も求められそうですね。いずれクラウド提供業者の責任論を問題とする事件がが発生してしまうかもしれません。
 

御相談、顧問弁護士のご依頼、お問い合わせはこちら
 
 

オランダで、ポートスキャンを使い、ロックを解除されたiPhoneを探し出してハッキングした事件が発生したとの報道があり、注意喚起がなされている【ITmediaの記事】。iphone自体は便利なツールではあるが、利用する際の説明がやや不十分であるためセキュリティ対策の設定がおろそかになっているケースも多いと思います。常日頃から各事例の対策等の情報を入手しておくことも必要と思います。
 
一方で、システムの問題から、情報が漏洩してしまうミクシィの人気のゲーム「サンシャイン牧場」のシステムに不具合があり、クレジットカードでアイテムを購入した利用者の電話番号とメールアドレス最大約４２００人分が第三者によって取得可能な状態になっていたこが明らかになったとの報道もなされました。
 
両事例のように、第三者にアプリを開発させるようなインフラは、ソフト・コンテンツを多くのユーザーに一気に提供する画期的な役割を果たし、これまでも多くのベンチャーなども参加しており、魅力的なマーケットであるのですが、一方で、多くのユーザが利用するサービスにおいて、それを悪用するインセンティブが生じてしまうことも事実です。せっかくの成功しているインフラにおいて、ソフト・コンテンツの提供者の参加ルールの基準に関しても議論が必要なのかもしれません。

 

御相談、顧問弁護士のご依頼、お問い合わせはこちら
 
 

　携帯電話の閲覧履歴や位置情報等から得られるいわゆるライフログに関し、総務省がガイドラインの策定を検討するとの報道（ITmediaさんの記事）がなされているようです。ライフログは、携帯電話に限らず、例えば電子マネーやスイカ等のカードなどでも入手することがビジネス上は可能ですし、ネット上のショッピングモールなどでも閲覧履歴、購入履歴等からライフログに近い情報は入手できると思いますが、携帯電話だけを規制するのか、この様な情報をもとにレコメンデーション広告等のモデルも既に存在するのでしょうから、どのようにバランスを図るのか注目したいとことです。
　ただ、個人が特定できる情報とともにライフログがともに流出すると非常に怖い問題であることは間違いありませんので、議論しなければならない問題であることは間違いありません。

 
御相談、顧問弁護士のご依頼、お問い合わせはこちら

個人情報漏洩事故に関し、某企業で漏えい被害にあわれた方への補償対策が公表されるなど、ニュース報道でも話題になっています。しかし、昨今は従業員や外注先の持ち出しという手口以外に、中国のサーバからの不正アクセスという手口での漏えいが無視できない存在となっています。セキュリティの甘い企業や外注先を狙った不正アクセスなど手口も巧妙化しているようです。ウェブサイトでの消費財販売でクレジット決済をする場合は、悩ましい問題の1つと言えるかもしれません。
 
個人情報の漏洩は、起こってしまうとその規模によっては企業に多大なる損害を与えてしまう問題であり、漏えい保険での担保、自社のみの情報セキュリティ対策は当然ですが、データーセンター等の外注先への外注範囲、当該外注先との契約での逸失利益の保証はどうなっているか、販売代理店先のセキュリティ対策、指導は十分かなど、様々なリスク要因があるのです。

 
特に、対策費用の捻出が難しい中小企業やベンチャーなどでは、ECサイト等の運営上、その危険性を認識しなければなりません。
 
御相談、顧問弁護士のご依頼、お問い合わせはこちら

ITPROさんのニュースに記載がありましたが、SSL対応のサイトでも悪用されフィッシングのサイトが構築されているのですね。本当に怖いです。やはり情報セキュリティ技術も人が作ったものですから、どうしても穴があるということなのでしょうか。技術に限界がある以上、企業側のリスクマネジメントとしては限界があることは否定できません。でもそれでは、こういったサイトを利用する消費者のユーザーサイドからするとこういった手口に対する最強のセキュリティはアナログということになってしまうのでしょうか？

 

　つい先日、元システム部長代理が名簿を売却して、個人情報を流出させた事件がありましたが、システムにかかわる責任者に準じるものがこのような行為を行っていたことや、IDパスワードの管理の不徹底が遠因となっており、従業員への継続的教育や、情報アクセスに係る監視体制の重要性を改めて痛感します。IDパスワードの管理については、社員の異動があるたびに適切に管理する必要がありますし、責任者に対しても任せきりにするのではなく定期的なダブルチェック等の管理体制は必要不可決と思います。
　また、流出事故が起きた時に企業が支払う代償は計り知れないものがあり、名簿業者の購入代金であるたった32万円程度の報酬のために、流出行為を行った従業員は、職も失うのみならず、得た利益の数万倍の法的制裁を受ける可能性のある行為を行ったことになるのです。名簿の売却という行為は、会社にとっても、従業員にとっても百害あって一利なしの行為であることは言わざるを得ません。

 

 御相談、顧問弁護士のご依頼、お問い合わせはこちら　
 
 
 

経済産業省が、情報セキュリティに関する普及・啓発活動の一環として、企業の経営者や情報セキュリティ担当者を対象とした「情報セキュリティセミー」を全国各地で開催します。開催される内容は以下の通りです。企業のセキュリティ担当者は参考にされてください。
 

【情報セキュリティ対策マネジメントコース入門編】 
主な対象 中小企業の経営者や管理者で、情報セキュリティ対策の必要性は感じているが、まず何をすべきか分からないという方 
概要 重要な情報の保管・持出し・廃棄、ウイルス対策、パソコンやメールを利用する上での注意点、従業者や取引先での機密保持など、中小企業が入門レベルとして最初に取り組むべき情報セキュリティ対策について、「 5分でできる！中小企業のための情報セキュリティ自社診断」（http://www.ipa.go.jp/security/manager/know/sme-guide/index.html）にある 25個のチェックポイントを紹介しながら解説する。 
 
【情報セキュリティ対策マネジメントコース実践編】 
主な対象 企業における管理面からの情報セキュリティ対策に関し、具体的な事故事例から対策のポイントについての理解を深めたい方 
概要 情報セキュリティに対する組織的・物理的対策等の管理的取組について、それぞれ事故事例を踏まえ、事故発生の原因、危険要因を分析し、行うべき対策例や対策のポイントを解説する。事故事例には、社員の情報持ち出し、私物 PCの利用による情報漏えい、委託先からの情報漏えいなど、発生しがちな事故を例示し、シナリオベースのケーススタディを行う。 
 
【情報セキュリティ対策技術コース標準編】 
主な対象 企業における情報セキュリティ脅威、および技術面からの対策に関して理解を深めたい方 
概要 近年の情報セキュリティ脅威は「見えない化」が進み、その全貌が分かりにくくなりつつある。さらに、日々新たな攻撃手法が出現しているのが実情であり、適切な対策のためには“敵を知る”ことが大前提となる。本コースでは、セキュリティ事故防止の視点から、最近の重大な情報セキュリティ脅威の動向と事例を紹介しつつ、それぞれの技術的対策のポイントについて解説する。 
 
【情報セキュリティ対策技術コース専門編】 
主な対象 ウェブサイトの開発・運営や、システムの運用に関わっている方で、生じうるセキュリティ上の問題およびその対応方法について理解を深めたい方 
概要 企業がウェブサイトを構築する際、開発するウェブアプリケーションにおいて必要なセキュリティ対策について、デモを交えて解説する。また、情報システムの運用時に、セキュリティ事故が発生した際、技術的な調査、および対応の方法を、ケーススタディを通じて解説する。 

 
御相談、顧問弁護士のご依頼、お問い合わせはこちら　

株式会社ラックは、4月後半から企業のWebサイトを狙ったDDoS（大規模サービス障害）攻撃をともなった恐喝行為について相談がよせられているとして注意喚起をしています。、 　攻撃の手口は、Webページの閲覧を困難にするためWebサーバにDDoS攻撃を行い、攻撃を止める代わりに特定の口座へ現金を振込むように電子メールで要求するもののようです。まずは、都道府県警察本部のサイバー犯罪相談窓口ならびに利用中の回線設備を提供するISPに相談するなどの対策が急務です。なお、同社の注意喚起ページはこちらです。
　

 

いつもご愛読いただきありがとうございます。ブログランキングに登録しておりますので下記アイコンをクリックいただけると幸いです。よろしくお願い申し上げます。

　IPAは、情報セキュリティ白書2008 第II部の 「10大脅威 ますます進む『見えない化』」の抜粋を公表し、警告を発しています。この抜粋は、IPAに届けられたコンピュータウイルス・不正アクセス・脆弱性に関する情報や一般に公開された情報を基にまとめられた資料とのことです。
　IPAによれば、利用者が攻撃者の仕掛けた罠に誘導される形（誘導型）の攻撃の脅威が増え、また、クロスサイト・スクリプティングやSQLインジェクションなどのウェブサイトの脆弱性を狙った攻撃も広まっており、利用者はソフトウェアを常に最新の状態にしておくことが必要となってきています。また、ウェブサイトの運営者や開発者等においては「安全なウェブサイトの作り方」2008年3月版などの資料を参考に安全性向上に取り組むなどの対策が必要となってきています。
 
　本内容の詳細はIPAのサイトをご確認ください。

 

いつもご愛読いただきありがとうございます。ブログランキングに登録しておりますので下記アイコンをクリックいただけると幸いです。よろしくお願い申し上げます。

　企業活動でのインターネットの利用が不可欠となる一方で、顧客情報の漏洩、コンピュータウィルスや不正アクセス、ネット上でのプライバシー侵害や名誉毀損などの問題が急増しており、企業においてはこうした問題への対策が急務となってきています。しかしながら、その問題について漏洩が発生してからことの重大性に気がつくという事例も多くなってしまっています。中小企業庁では、この問題を啓発するための動画コンテンツを公表しています。情報セキュリティは個人情報のみならず、営業秘密など各種情報管理体制にも関連する問題です。皆さんは企業内の情報管理大丈夫ですか？
　また、専門家に規定作りを依頼するだけでは不十分で、社内の業務フローなどからリスク要因を銃bんに分析した上で、実現可能なルール作りから始めなければいけません。
 
 
いつもご愛読いただきありがとうございます。各種ブログランキングに登録しておりますので下記アイコンをクリックいただけると幸いです。よろしくお願い申し上げます。

顧問弁護士をお探しの方又は相談をご希望の方はこちら